灾后恢复之路

2017年06月27日


在如今这个时代,几乎所有的组织都面临着潜在的灾难风险,包括网络攻击、政治动荡和自然灾害。例如今年4月,通用汽车在委内瑞拉的工厂被资金短缺的政府接管。又如凯悦酒店、联盟健康、温迪、威瑞森公司、领英、民主党全国委员会、花旗银行和CiCi的披萨等都是在2016年遭遇严重网络攻击的数千家美国公司中的一员,它们暴露了数以百万计的客户或成员的个人信息。去年10月,飓风“马修”在北卡罗来纳州的洪灾所致的损失估计约为15亿美元,造成众多人员伤亡和许多企业被迫关闭。


考虑到各种灾难出现的可能性,企业必须提前为此类事件做好准备。但企业果真这样做了吗?为了回答这个问题,IMA(美国管理会计师协会)于2017年3月对高级财会金融专业人士进行了一项相关调研,询问他们的公司如何准备应对灾难风险和灾后恢复。


结果表明,在过去的三年中,42个被调查者中有三分之一的公司经历过某种类型的重大灾难(去年为21%)。他们最关心的是以下类型的灾难:

• 网络攻击(81%)

• 自然灾害(55%)

• 金融欺诈(40%)

• 技术故障(36%)

• 断电(31%)

• 关键供应商/客户流失(21%)


灾难恢复计划(DRP)是一种通过文件记录和、结构化的指引方法来指导如何应对意外事件。我们统计了有多少被调查者公布过灾难恢复计划:

• 38%的公司有书面计划(69%的公司有超过500名员工)。

• 26%的公司在这方面已经开展相关工作。

• 26%的公司暂且没有计划。

• 10%的公司对此一无所知。


关于已经公布的灾难恢复计划,通常包括以下方面:

• 常规的数据备份,在线备份或离线备份(64%)

• 应急响应清单(52%)

• 异地工作安排(52%)

• 危机沟通计划,如针对雇员、客户、供应商、公众和媒体(43%)

• 潜在的威胁、漏洞和风险评估(38%)

• 业务功能的优先级排序(36%)

• 业务中断保险(31%)

• 预防和减低灾难策略(29%)

• 对灾难恢复能力的常规测试(29%)


尽管有网络责任保险,但只有几名受访者表示,他们的灾难恢复计划包含了这一方面。约12%的公司与外部灾难恢复公司签有合约。


通常情况下,受访公司每年都会对各种灾难恢复计划进行评估和修改。我们了解到这些公司认为在开发和维护灾难恢复计划时面临的最大挑战是:

• 67%的受访者认为是资源,其中包括人和实物设施。

• 36%认为预算之外的项目。

• 29%提及技术问题。

• 29%认为是数据系统。

• 26%提出是管理层在风险方面的立场。

•  12%则认为是黑客。


有人评论说,最大的挑战就是需要“花时间坐下来讨论并将它们写下来”!


当我们询问众多受访者,他们认为开发灾难恢复计划的最佳实践是什么。最常见的回答是:


• 在线或离线的常规数据备份

• 识别潜在的威胁和漏洞并进行风险评估。

• 制定危机沟通计划,如针对员工、客户、供应商、公众等。

• 起草应急响应清单

• 计划对灾难恢复能力和备份系统进行常规测试。

•业务功能的优先级排序。

• 制定预防和缓解策略。

• 安排异地工作。


公司及其产品越来越容易受到黑客和其他风险的侵害。针对所有潜在的威胁,组织都被建议开发某种类型的灾难恢复计划。至少,该计划应包括潜在威胁和风险评估、数据保护和处理网络威胁、系统备份、应急响应清单、恢复计划的常规测试和沟通计划。


如果管理层需要让人相信这一计划的重要性,那么通过简单的谷歌搜索就能提供许多其他公司经历过的危机,以及他们的准备工作,或者缺乏准备对后续结果影响的案例。如果您的公司没有灾难恢复计划,那么建议您务必现在就着手考虑设置。相信没有人愿意向首席执行官或董事会解释为什么公司没有制定灾难恢复计划。


作者:Kip Krumwiede,美国管理会计师,注册会计师,博士,IMA研究部总监。请致电(201)474-1732或邮件kkrumwiede@imanet.org联系。